Перечень документов по информационной безопасности в организации

Главная — Информационная безопасность — Основы ИБ — Документы по информационной безопасности — Перечень документов по информационной безопасности в организации

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

В своей деятельности предприятия любой формы собственности руководствуются нормами федеральных законов Российской Федерации и правовых актов отраслевого и регионального уровней.

С учетом специфики деятельности на основе базовых законов разрабатываются внутренние положения, с которыми должны быть ознакомлены сотрудники.

По сути, локальные правовые акты конкретизируют обязанности, требования, правила доступа к сведениям, распространение или уничтожение которых может отрицательно сказаться на деловой репутации предприятия.

Разберемся с пакетом документации по информационной безопасности, направленной на обеспечение сохранности данных.

Требования закона к комплектности и содержанию локальных актов по информационной безопасности

Гарантировать целостность данных и предотвратить их потерю позволяет комплексный подход к решению проблем сохранности конфиденциальных сведений, когда наряду с применением технологических средств проводятся организационные мероприятия.

Руководители, перед тем как определиться с политикой информационной безопасности, должны установить потенциальные угрозы, которые возникают в процессе разработки, использования, передачи ценных сведений.

Точного списка внутренних документов для организации работ по защите информации в законодательных актах нет. Поэтому перечни отличаются в зависимости от вида деятельности компании.

Выделим документы, устанавливающие порядок проведения мероприятий с целью защиты данных, наличие которых поможет избежать неприятностей при проверках обеспечения безопасности различными контролирующими органами. Их можно подготовить по шаблонам, конкретизируя нюансы, связанные с деятельностью компании.

1. Положения:

о защите персональных, секретных, конфиденциальных сведений;
о правилах пользования внутренней информационной сетью, использования интернет-ресурсов.

2. Распоряжения:

о назначении ответственных лиц по обеспечению безопасности обработки персональных данных;
о правилах хранения электронных и бумажных носителей ценных сведений, определения порядка допуска к ним;
о создании комиссии, которая занимается классификацией системы и присваивает ей соответствующий класс защиты.

3. Должностные инструкции специалистов, ответственных за программное обеспечение, работу технических средств, контролирующих доступность сведений.

4. Модель угроз безопасности, составленную на основе анализа.

5. Утвержденный список лиц с доступом к информации, имеющей стратегическое значение.

6. Правила:

проведения процедуры идентификации пользователей;
установки (инсталляции) программного обеспечения;
резервирования баз данных, их восстановления при возникновении нештатных ситуаций.

7. Формы журналов учета:

приема/выдачи съемных носителей данных;
технических средств для обработки и передачи информации;
проведения инструктажей по вопросам защиты данных, безопасного пользования персональными компьютерами;
тестирования средств, обеспечивающих конфиденциальность, защиту информации;
плановых мероприятий, проводимых с целью предотвращения хищений, несанкционированного доступа к секретной информации, выявления потенциальных угроз.

Опционально в организации должны быть локальные документы по обработке, использованию и хранению персональных данных (на основе ФЗ № 152), по использованию криптографических средств для защиты системы.

Чтобы документы внутреннего пользования действительно помогали обеспечивать надежную работу системы, важно, чтобы их разрабатывали при участии ИБ-специалистов.

16.06.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.